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Cyflwyniad 


Daw'r Rheoliad Diogelu Data Cyffredinol (y Rheoliad) i rym ar 25 Mai 2018 i 
ddiweddaru'r fframwaith diogelu data presennol yn y DU. Mae'r ddeddfwriaeth yn 
cwmpasu pob sector a phob sefydliad - sy'n golygu bod rhaid i bobl mewn gwahanol 
sefydliadau feddwl am y data personol y gallent fod yn ei brosesu a rhoi'r egwyddorion 
ar waith yn eu maes gwaith nhw. 


Codi Arian Ymddiriedolaethau 


Mae Codi Arian Ymddiriedolaethau yn cyfeirio at y broses o ofyn am gymorth gan 
ymddiriedolaethau a sefydliadau sydd â'r pŵer i roi grantiau ar gyfer dibenion elusennol. 
Yn dechnegol, mae ymddiriedolaeth yn berthynas ymddiriedol (“mewn ewyllys da") lle 
mae unigolyn neu unigolion (ymddiriedolwr/wyr) yn dal ac yn rheoli eiddo er budd un neu 
ragor o bobl eraill (buddiolwyr). Mae dibenion a rheolau ymddiriedolaeth wedi'u 
hamlinellu yn ei hofferynnau llywodraethu (gweithred ymddiriedolaeth fel rheol neu 
Femorandwm ac Erthyglau Cymdeithasu os yw'n gwmni cyfyngedig drwy warant). Mae 
sefydliad, at ddibenion y Cod hwn, yn gyfystyr ag 'ymddiriedolaeth'. 


Cwestiynau allweddol i godwyr arian ymddiriedolaethau eu gofyn 
am y Rheoliad 


1. Ydw i'n defnyddio data personol? 


Mae'r Rheoliad yn gymwys i 'ddata personol', sy'n golygu unrhyw wybodaeth sy'n 
ymwneud ag unigolyn byw y gellir ei adnabod yn uniongyrchol neu'n anuniongyrchol o'r 
wybodaeth honno - mae hyn yn cynnwys enw, cyfeiriad, manylion cyswllt ond gallai 
hefyd gynnwys dwy neu ragor o ddarnau o wybodaeth a allai, o'u cyfuno, enwi unigolion 
penodol gan gynnwys, er enghraifft, cyfuniad o ryw, dyddiad geni, dangosydd 
daearyddol a disgrifwyr eraill. Mae diffiniad llawnach o "ddata personol" i'w weld yn 
https://ico.org.uk/ 


Mae'r ffordd y gall codwyr arian brosesu data personol gan ymddiriedolaethau elusennol 
yn cynnwys ond heb ei chyfyngu i: 


e gwneud ymchwil allanol ar unigolion megis ymddiriedolwyr sefydliad elusennol 
(er enghraifft, ar-lein neu mewn cyfeirlyfrau cyhoeddedig) i nodi'r 
ymddiriedolaethau hynny y mae eu hamcanion a'u polisïau yn cyfateb â'r angen 
y mae angen y grant ar ei gyfer. Gall hyn gynnwys eu sgrinio ar gyfer 
nodweddion arbennig megis lefel cyfoeth neu ddefnyddio data sydd ar gael yn 
gyhoeddus amdanynt. 


e cysylltu ag ymddiriedolwyr neu weithwyr ymddiriedolaeth i drafod ceisiadau 
posibl am gyllid. 


e _ storio gwybodaeth cyswllt ymddiriedolwyr neu weithwyr ymddiriedolaeth sy'n 
berthnasol i'ch cais. 
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e cyflwyno cais am gyllid. 


e dilyn i fyny cyfathrebiadau, gan gynnwys negeseuon o ddiolch a rhoi gwybod i'r 
ymddiriedolaeth am gynnydd prosiectau. 


Er bod ymddiriedolaethau a sefydliadau yn gyrff, bydd hawliau gan y gweithwyr neu'r 
ymddiriedolwyr yn y cyrff hynny o ran unrhyw ddata corfforaethol sy'n dangos pwy ydynt 
nhw yn benodol. Mae data personol yn cynnwys cyfeiriadau e-bost corfforaethol a'r 
manylion cyswllt eraill sy'n enwi unigolion (er enghraifft enw.cyfenw(O::sefydliad.org.uk). 
Felly, fel codwr arian, rydych yn debygol iawn o brosesu data personol wrth ymgysylltu 
ag ymddiriedolaeth. 


Wrth brosesu data personol, mae'n rhaid i chi ystyried dau fater allweddol: 
e pa ddibenion yr hoffech brosesu'r data personol ar gyfer eu cyfer; a 


e _ sut y byddwch yn dangos bod y data personol wedi cael ei brosesu'n gyfreithlon 
ac yn deg. 


2. Beth yw fy sail gyfreithlon ar gyfer cysylltu â gweithwyr ymddiriedolaeth 
neu ymddiriedolwr sy'n defnyddio data personol? 


Os ydych chi'n hyrwyddo'ch elusen i unigolion penodol, mae hyn yn debygol o gael ei 
gynnwys o fewn y diffiniad o farchnata uniongyrchol, sy'n cynnwys hyrwyddo amcanion 
elusennau. Fel arall, os ydych yn gwneud gwaith ymchwil ar unigolion o fewn 
ymddiriedolaeth neu'n casglu data ar yr unigolion hynny at ddiben ceisio arian ar 
ddyddiad diweddarach, bydd eich gweithgaredd yn cynnwys prosesu at ddibenion 
marchnata uniongyrchol. 


Mae'r amrywiaeth lawn o seiliau cyfreithlon ar gyfer prosesu data personol i'w weld ym 
Mhapur Briffio 1. Fodd bynnag, fel codwr arian ymddiriedolaethau, mae'n debyg y bydd 
angen i chi ddibynnu ar naill ai gydsyniad cadarnhaol yr unigolyn neu ar fudd cyfreithlon 
fel sail i gysylltu â gweithiwr ymddiriedolaethau neu ymddiriedolwr. 


a) Cydsyniad 


Os yw unigolyn wedi rhoi ei fanylion cyswllt i chi gyda chydsyniad penodol i chi gysylltu 
at ddiben arbennig, cydsyniad fydd eich sail fwyaf priodol mae'n debyg ar gyfer cysylltu. 


Fodd bynnag, mewn sawl achos byddwch yn cysylltu â chyswllt ymddiriedolaeth heb 
gyflwyniad blaenorol, felly gall defnyddio cydsyniad fel sail i gael cydsyniad yn gyfreithiol 
fod yn anymarferol (peidiwch ag anghofio y bydd hyd yn oed cais am gydsyniad yn gofyn 
am sail gyfreithiol ar gyfer ei anfon at unigolyn). 


Mae'r trothwy ar gyfer cydsyniad o dan y Rheoliad yn uchel; rhaid i gydsyniad gael "ei roi 
o'ch gwirfodd, bod yn benodol, yn wybodus ac yn arwydd diamwys o ddymuniadau'r 
unigolyn", felly rhaid i chi wneud yn siŵr eich bod chi'n gallu dangos eich bod chi wedi 
bodloni pob un o'r meini prawf yma er mwyn gallu cydymffurfio (er enghraifft, hyd yn oed 
os yw gwefan ymddiriedolaeth yn datgan ei bod yn "croesawu ymholiadau/ceisiadau gan 
elusennau", nid yw hyn yn debygol o fod yn ddigonol i ddangos bod cydsyniad wedi cael 
ei geisio gan unigolyn i ddefnyddio ei ddata personol). 


b) Budd cyfreithlon 


Gall codwyr arian ymddiriedolaethau sydd yn ei chael hi'n rhy anodd i gael cydsyniad 
ddefnyddio budd cyfreithlon fel sail gyfreithiol ar gyfer gweithgareddau marchnata mewn 
sawl achos, ar yr amod y gallant ddangos fod eu prosesu wedi'i gyfiawnhau yn dilyn 
Asesiad Budd Cyfreithlon. Os mai budd cyfreithlon yw eich sail ar gyfer prosesu, mae'n 
rhaid i chi: 


e dangos eich bod chi wedi ystyried buddiannau'r unigolyn yn erbyn eich 
buddiannau chi trwy wneud Asesiad Budd Cyfreithlon (sy'n debygol o fod yn 
hawdd i'w gyfiawnhau os yw'ch cyfathrebu marchnata uniongyrchol mewn cyd- 
destun proffesiynol - gweler Cwestiwn 4 isod) 


e gadael i'r unigolyn dan sylw wybod eich bod chi'n prosesu ei ddata ac at ba 
ddiben 


e cynnig cyfle i'r unigolyn optio allan o gyfathrebu ymhellach os hoffai wneud 
hynny 
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Mae rhagor o wybodaeth am y "prawf 3 cham" ar gyfer budd cyfreithlon i'w weld yng 
Nghanllaw'r ICO i'r Rheoliad. 


Pan fyddwch yn defnyddio budd cyfreithlon, fel arfer byddwch yn gallu defnyddio 
hysbysiad preifatrwydd i ddangos sut y byddwch yn prosesu data personol unigolyn a 
sut y gall yr unigolyn optio allan ar yr amod eich bod yn rhoi gwybod i'r unigolyn pan 
fyddwch yn gohebu ag ef. 


3. Pa sianeli marchnata alla i eu defnyddio i gyfathrebu ag ymddiriedolaethau 
a beth yw'r categori 'tanysgrifiwr corfforaethol' o dan fudd cyfreithlon? 


Mae anfon e-bost neu ddeunyddiau marchnata SMS i danysgrifwyr unigol yn gofyn am 
gydsyniad yr unigolyn o dan Reoliadau Preifatrwydd a Chyfathrebu Electronig 2003, 
oherwydd ni fydd optio i mewn meddal yn gymwys i godi arian. Os yw codwyr arian am 
ddibynnu ar fuddiannau cyfreithlon ar gyfer marchnata fel rheol byddant yn gallu cysylltu 
ag unigolyn at ddibenion marchnata uniongyrchol trwy'r post neu alwad ffôn byw. 
(Sylwch pan fydd rhif ffôn wedi'i gofrestru ar y Gwasanaeth Dewis Galwadau Ffôn, rhaid 
i chi wneud galwadau byw i'r rhif hwnnw oni bai bod cydsyniad gennych i wneud hynny). 


Fodd bynnag, pan fyddwch yn cysylltu â sefydliadau, gall fod yn gyfreithlon i godwyr 
arian ymddiriedolaethau ddefnyddio e-byst i anfon cyfathrebiadau marchnata 
uniongyrchol trwy'r e-bost o dan y categorïau derbynnydd (tanysgrifiwr corfforaethol) gan 
ddefnyddio budd cyfreithlon. 


Mae'r cyd-destun yn bwysig yma pan fyddwch yn cysylltu â'r unigolyn o ran penderfynu 


a ydych yn cysylltu â 'thanysgrifiwr corfforaethol' o dan fudd cyfreithlon, ac felly gallwch 
ddefnyddio sianeli electronig i farchnata. 


e _ O dan Reoliadau Preifatrwydd a Chyfathrebu Electronig, byddai'n rhaid i'r 
sefydliad y mae'r unigolyn yn gweithio iddo gael ei gynnwys o fewn y categori 
sefydliad 'tanysgrifiwr corfforaethol'. Mae hyn yn cynnwys cwmnïau fel y diffinnir 
gan Ddeddf Cwmnïau 1985, cwmnïau wedi'u corffori yn unol â siarter frenhinol 
neu lythyrau patent, unig gorfforaethau, partneriaethau yn yr Alban, ac unrhyw 
gorff corfforaethol neu endid (gan gynnwys elusennau megis sefydliadau ac 
ymddiriedolaethau) sy'n berson cyfreithiol ar wahân i'w aelodau. 


e Dylai sail y cyfathrebu fod yn berthnasol i waith yr unigolyn o fewn y sefydliad 
(yn wahanol i gysylltu ag ef mewn rhinwedd personol). Nid yw hyn yn ofyniad 
penodol y Rheoliadau Preifatrwydd a Chyfathrebu Electronig ond dylid ei 
ystyried yn arfer da o ran sicrhau bod eich cyfathrebu yn briodol yn yr 
amgylchiadau. 


Mae enghreifftiau o ble y gall 'y categori tanysgrifiwr corfforaethol' fod yn gymwys i 
gyfathrebu gynnwys ceisio rhagor o wybodaeth gan ymddiriedolaeth am gyfle i roi 
grantiau. Gallai hefyd gynnwys cais codi arian wedi'i gyfeirio at y sefydliad, os gallwch 
chi ddangos bod y dull yn berthnasol i'w waith (er enghraifft, os yw'ch cais yn unol ag 
amcanion elusennol yr ymddiriedolaeth neu os yw'r ymddiriedolaeth wedi datgan ei fod 
yn croesawu ceisiadau gan godwyr arian sy'n cynrychioli achosion arbennig). 


Fodd bynnag, er nad oes rhaid i chi gael cydsyniad blaenorol ar gyfer cyfathrebu 
'tanysgrifiwr corfforaethol', rhaid i chi wneud asesiad budd cyfreithlon o hyd gan 
ddefnyddio'r 'prawf 3 cham' (gweler uchod) ac ystyried disgwyliadau rhesymol yr 
unigolyn. 


Er enghraifft, byddai'n anodd i ddangos bod budd cyfreithlon gennych o ran defnyddio 
data personol i gysylltu ag unigolyn trwy gyfeiriad e-bost corfforaethol heb gydsyniad 
blaenorol i ofyn iddo gefnogi eich elusen mewn rhinwedd personol, er enghraifft i wneud 
rhodd bersonol. Ni fyddai'n briodol ychwaith i ddefnyddio'r categori 'tanysgrifiwr 
corfforaethol' i gysylltu ag unigolyn os nad yw'ch marchnata yn berthnasol i waith y 
sefydliad (cwestiwn prawf posibl yma fyddai: "Fyddai'n rhesymol i unigolyn ddisgwyl y 
cyfathrebu hwn yn wyneb y gwaith y mae'r sefydliad yn ei wneud?") 
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Er nad oes angen cydsyniad blaenorol arnoch ar gyfer cyfathrebu 'tanysgrifiwr 
corfforaethol', mae'n rhaid i chi gofio y bydd hawl gan gynrychiolwyr unigol o'r cwmni i 
ofyn i chi roi'r gorau i ddefnyddio ei fanylion cyswllt personol neu anfon deunyddiau 
marchnata i'w gyfeiriad e-bost gwaith personol. O dan Reoliadau Preifatrwydd a 
Chyfathrebu Electronig, bydd rhaid i chi ddweud pwy ydych chi a rhoi eich manylion 
cyswllt er mwyn i'r unigolyn allu gwneud cais i roi'r gorau i dderbyn deunyddiau 
marchnata os yw am wneud hynny. Os ydych yn derbyn cais o'r fath, rhaid i chi 
gydymffurfio â'r cais. 


Beth arall y mae angen i mi ei ystyried? 


Cadw data personol 


Wrth ymgysylltu ag ymddiriedolaethau, efallai yr hoffech chi storio data personol 
gweithiwr neu ymddiriedolwr sy'n gyswllt ar gyfer amrywiaeth o ddibenion y tu hwnt i'r 
cais cychwynnol, gan gynnwys cysylltu â nhw ynghylch digwyddiadau codi arian yn y 
dyfodol. 


Os hoffech chi wneud hynny, mae angen i chi sicrhau bod yr unigolyn yn gwybod eich 
bod yn cadw ei ddata personol a'r dibenion rydych yn cadw'r data hwn ar eu cyfer, gan 
geisio ei gydsyniad ar gyfer prosesu ei ddata neu ddibynnu ar fudd cyfreithlon eich 
sefydliad. Dylai hefyd gael cyfle i wrthwynebu prosesu'r data ar gyfer unrhyw un o'r 
dibenion rydych wedi'u nodi. 


Os ydych yn defnyddio budd cyfreithlon, mae'n bwysig bod mor glir â phosibl yn eich 
datgeliad preifatrwydd cychwynnol i'r unigolyn ynghylch yr holl ddibenion rydych yn 
rhagweld y byddwch yn defnyddio'r data ar eu cyfer. Rhaid i ddata personol gael eu 
cadw dim ond cyhyd ag y bo angen i gyflawni'r diben y cafodd ei brosesu ar ei gyfer. 
Pan fydd y diben hwnnw wedi dod i ben, rhaid i chi naill ai ddileu data'r unigolyn neu 
fynd yn ôl i'r unigolyn i roi gwybod iddo fod eich diben prosesu wedi newid a sut. 


Gwnewch yn siŵr eich bod chi'n glir ynghylch y canlynol: 
e pa ddata personol rydych yn ei gadw 
e _ ar ba sail gyfreithlon rydych yn ei gadw 


e _ a yw'r diben rydych wedi bod yn ei brosesu ar ei gyfer yn dal i fod yn gymwys, 
ac os ydw 


e _ sut y byddwch yn cadw'r data yn gywir ac yn gyfoes. 


Prosesu data 'categorïau arbennig' 


Bydd rhaid i unrhyw ddata personol ar gyfer unigolion a ddosberthir fel 'categori 
arbennig' gael cydsyniad penodol gan yr unigolyn hwnnw i'w brosesu (neu sail 
gyfreithlon arall os yw ar gael). Mae data categori arbennig yn cynnwys, ond nid yw 
wedi'i gyfyngu i, wybodaeth hiliol neu dras ethnig, credoau gwleidyddol a chrefyddol, yn 
ogystal ag unrhyw gyflwr corfforol neu iechyd meddwl. 


Defnyddio data sydd ar gael yn gyhoeddus 


Efallai yr hoffech chi brosesu data personol sydd ar gael yn gyhoeddus at ddibenion codi 
arian (er enghraifft, edrych ar wybodaeth sydd ar gael i'r cyhoedd am ymddiriedolwyr 
sefydliadau sy'n rhoi grantiau i gael gwybod rhagor am eu buddiannau a'r 
prosiectau/achosion y maent yn debygol o gyllido). Wrth wneud hyn, mae'n bwysig bod 
gwybodaeth yn cael ei rhoi ynghylch prosesu teg. Dylid ystyried hefyd i ba raddau y mae 
prosesu gwybodaeth sydd ar gael yn gyhoeddus o fewn disgwyliadau rhesymol rhywun - 
er enghraifft, y gwahaniaeth rhwng adolygu'r disgrifiad o weithiwr ar wefan cwmni a 
chyfrif Facebook personol rhywun. 


Mae codwyr arian yn debygol o ddefnyddio budd cyfreithlon fel sail ar gyfer ymchwil gan 
ddefnyddio gwybodaeth sydd ar gael yn gyhoeddus, ond ni allwch gymryd yn ganiataol 
dim ond oherwydd ei fod ar gael yn gyhoeddus y gellir ei ddefnyddio'n ddiamod. Bydd 
rhaid i chi ystyried y cyd-destun a disgwyliadau rhesymol yr unigolyn gan sicrhau nad yw 
buddiannau a hawliau preifatrwydd yr unigolyn yn bwysicach na'ch budd cyfreithlon eich 
hun o brosesu'r wybodaeth hon. Mae disgwyliadau rhesymol yr unigolyn yn debygol o 
amrywio yn dibynnu ar y math o ddata sydd ar gael yn gyhoeddus a'r cyd-destun y 
cafodd y data ei gyhoeddi ar ei gyfer yn wreiddiol. 
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Cyfeirio ac 
adnoddau: 


Ar adeg briodol yn gynnar yn y broses, bydd rhaid i chi roi gwybod i'r unigolyn hefyd bod 
ei wybodaeth wedi cael ei defnyddio yn y ffordd hon (er enghraifft, trwy roi eich polisi 
preifatrwydd iddo) a chynnig cyfle iddo wrthwynebu defnyddio ei ddata fel hyn. Gweler 
Cwestiwn 2 i gael rhagor o wybodaeth ar ddefnyddio budd cyfreithlon. 


Os yw hawliau preifatrwydd yr unigolyn yn bwysicach na'r budd cyfreithlon o brosesu'r 
wybodaeth hon, bydd rhaid cael cydsyniad (neu sail gyfreithlon arall). 


Y ffordd hawsaf i hysbysu pobl yw trwy ddarparu hysbysiad preifatrwydd eich sefydliad 
iddynt. 


ICO 


Canllaw i'r Rheoliad 


https://ico.org.uk/for-organisations/guide-to-the-general-data-protection-regulation-gdpr/ 
Canllaw Marchnata Uniongyrchol: 


https://ico.org.uk/media/for-organisations/documents/1555/direct-marketing-guidance.pdf 


Asesiadau effaith diogelu data 


https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data- 


protection-regulation-gdpr/accountability-and-governance/data-protection-impact- 
assessments/ 


Y Rheoleiddiwr Codi Arian 
Cod Ymarfer Codi Arian 


https://www.fundraisingregulator.org.uk/code 


CloF 
Y Rheoliad Diogelu Data Cyffredinol: Yr Hanfodion ar gyfer Sefydliadau Codi Arian 


https://ciof.org.uk/events-and-training/resources/gdpr-the-essentials 


Cefnogwyd gan: 


CHARITY COMMISSION 
FOR ENGLAND AND WALES 


° Legal 
„Charity uc Fl N do 
Commission apgards ywn 


for Northern Ireland 
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